openSUSEセキュリティ更新プログラム:zsh(openSUSE-2019-501)
high Nessus プラグイン ID 123207
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このzshのバージョン5.5への更新では、次の問題が修正されます:修正されたセキュリティ問題:
- CVE-2018-1100:ローカルの任意のコード実行につながる可能性のあるutils.c:checkmailpath()でのバッファオーバーフローを修正します(bsc#1089030)
- CVE-2018-1071:- exec.c:hashcmd()でのスタックベースのバッファオーバーフローを修正します(bsc#1084656)
- CVE-2018-1083:compctl.cのgen_matches_files()におけるスタックベースのバッファオーバーフローを修正しました(bsc#1087026)
セキュリティ以外の修正された問題:
- コマンドラインでの使用時に、NO_INTERACTIVE_COMMENTSオプションの効果が$(...)および「...」コマンド置換まで拡張されました。
-「exec」および「command」プリコマンド修飾子とこれらの修飾子のオプションは、パラメーター拡張後に解析されるようになりました。
- ZLEウィジェットにより実行される関数ではその標準入力が閉じられず、代わりに/dev/nullからリダイレクトされます。
- WARN_NESTED_VARオプションは、既存のWARN_CREATE_GLOBALの仲間であり、関数でtypeset -gを使用せずに外側のスコープから変数が更新される場合に警告を出力します。
- zmodloadに、モジュールの検索の失敗についてはエラーを出力せず、他のエラーは引き続き出力するオプション-sが追加されました。
この更新はSUSEからインポートされました:SLE-15:更新プロジェクトを更新します。
ソリューション
影響を受けるzshパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1084656
プラグインの詳細
深刻度: High
ID: 123207
ファイル名: openSUSE-2019-501.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/3/27
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.2
現状値: 5.3
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:zsh, p-cpe:/a:novell:opensuse:zsh-debuginfo, p-cpe:/a:novell:opensuse:zsh-debugsource, p-cpe:/a:novell:opensuse:zsh-htmldoc, cpe:/o:novell:opensuse:15.0
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/3/23
脆弱性公開日: 2018/3/9